Kryptering anvendes mange forskellige steder tilbeskyttelse af forskellige ting. VPN anvender ofte kryptering til beskyttelse at netværkstrafik, SSL krypterer web trafik og tillader sikker udveksling af personlige oplysninger og økonomiske transaktioner mellem brugerne og forskellige offentlige og private web steder, passwords krypteres før de opbevares og filer på harddiske kan krypteres hvis man ønsker at sikre dem yderligere. Det hardog altid været god latin, at hvis man skulle sikre sine data ordentligt, så skulle hele disken krypteres, med systemdrev, styresystem og det hele, hvilket i praksis betyder at man som bruger er nødt til at indtaste password for overhoved at få adgang til det der ligger på systemets diske og dermed indtaste password før styresystemet er indlæst.
Hvordan virker full disk encryption.
Det er klart at forskellige fabrikaters produkter virker lidt forskelligt, men ofte er de grundlæggende principer ens. Hvs du vil læse en sammenligning af forskellige produkter så se denne artikel på WikiPedia “Comparison of disk encryption software” der giver et ganske godt billed.
Det første der sker når en computer startes er at bios indlæses. Herefter vil computeren lede efter et styresystem jævnfør den boot sekvens der er sat i bios og betyder i de fleste tilfælde at diskene aktiveres. På diske der er fuldt krypteret, vil et lille skjult område af disken blive tilgået først, og dette område vil afkræve brugeren et password der, hvis passwordet er korrekt, generere den nøgle der skal bruges til at dekryptere diskene med. Nøglen indlæses til RAM, hvor den forbliver lige så længe der er strøm på maskinen.
RAM er en del af problemet.
Selvom RAM kaldes volatil hukommelse og man siger at data i RAM forsvinder når strømmen tages, så ved vi godt at dette ofte ikke er helt korrekt og det grundlæggende råd har altid været at man lader maskinen være slukket i mindst 5 minutter før man sætter strøm til igen hvis man vil være helt sikker på at RAM’en er tømt.
Undersøgelser har vist at data i RAM henfalder over tid når strømmen tages. Billedeligt talt betyder dette at et fotografi der er indlæst i RAM midster kvalitet hen overtid således at fotoet går fra fuld kvalitet til ikke genkendeligt i løbet af et tidsrum der strækker sig fra få sekunder til 10 til 15 minutter under særlige forhold. Bl.a. temperaturen er afgørende, og køles rammen aktivt, sker henfaldet meget langsomt.
Hacking af fuldt krypterede diske i praksis.
For at man skal kunne hacke en fuldt krypteret disk kræver det i første omgang at derer strøm på maskinen hår man går i gang, altså at maskinen er tændt, f.eks. med pause skærmen slået til, eller i dvale (sleep mode).
Herefter vil hackeren køle RAM’en ned til -50 grader. Dette kan gøres med en dåse trykluft af den slags man f.eks. bruger til at puste tastature rene med, vendes en sådan dåse på hoved kommer en væske ud der køler kraftigt.
Når rammen er nedkølet har han flere valg, han kan udtage RAM’en og sætte den over i en anden maskine hvor han har installeret noget software der kan udtrække krypteringsnøglen af ram (det hedder BitUnlocker), eller han kan boote maskinen fra en USB disk hvor den samme software er installeret.
Hvem er sårbare.
Navnet BitUnlocker ligger selvfølgelig op til at Microsoft Bitlocker, der følger med Vista Enterprise er det primære mål, men samme sårbarhed findes også i TrueCrypt, i Linux full disk encryption og formentlig i alle andre løsninger der anvender samme teknik med at opbevarer nøglerne i RAM.
it sikkerhed
krypteringTags: Hacking, IT sikkerhed, Kryptering
